CISA bugün ABD federal kurumlarına, WhatsApp çalıştıran cihazlara LandFall casus yazılımını dağıtmak için sıfır gün saldırılarında kullanılan kritik bir Samsung güvenlik açığını düzeltme emri verdi.
CVE-2025-21042 olarak takip edilen bu sınır dışı yazma güvenliği açığı, Samsung'un libimagecodec.quram.so kitaplığında keşfedildi ve uzak saldırganların Android 13 ve sonraki sürümleri çalıştıran cihazlarda kod yürütme olanağına sahip olmasına olanak tanıdı.
Samsung, Meta ve WhatsApp Güvenlik Ekiplerinden gelen bir raporun ardından bu yamayı Nisan ayında yamalamış olsa da, Palo Alto Networks'ün Birim 42'si geçen hafta, saldırganların WhatsApp üzerinden gönderilen kötü amaçlı DNG görüntüleri aracılığıyla daha önce bilinmeyen LandFall casus yazılımlarını dağıtmak için en az Temmuz 2024'ten bu yana bunu kullandıklarını ortaya çıkardı.
Casus yazılım, kurbanın tarama geçmişine erişebilir, çağrıları ve sesleri kaydedebilir, konumlarını izleyebilir, ayrıca fotoğraflara, kişilere, SMS'lere, çağrı kayıtlarına ve dosyalara erişebilir.
Unit 42'nin analizine göre, Galaxy S22, S23 ve S24 serisi cihazların yanı sıra Z Fold 4 ve Z Flip 4 dahil olmak üzere çok çeşitli Samsung amiral gemisi modellerini hedefliyor.
Birim 42 araştırmacıları tarafından incelenen VirusTotal örneklerinden elde edilen veriler Irak, İran, Türkiye ve Fas'taki potansiyel hedefleri gösterirken C2 alan adı altyapısı ve kayıt modelleri, Birleşik Arap Emirlikleri kaynaklı Stealth Falcon operasyonlarında görülenlerle benzerlikler taşıyor.
Diğer bir ipucu da kötü amaçlı yazılım yükleyici bileşeni için NSO Group, Variston, Cytrox ve Quadream tarafından geliştirilen ticari casus yazılımlarda yaygın olarak görülen bir adlandırma kuralı olan "Bridge Head" adının kullanılmasıdır. Ancak LandFall, bilinen herhangi bir casus yazılım satıcısına veya tehdit grubuna güvenli bir şekilde bağlanamadı.
CISA artık CVE-2025-21042 kusurunu, saldırılarda aktif olarak kullanıldığı işaretlenen güvenlik hatalarını listeleyen Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) kurumlarına, Bağlayıcı Operasyonel Direktif (BOD) 22-01'in zorunlu kıldığı şekilde 1 Aralık'a kadar üç hafta içinde Samsung cihazlarını devam eden saldırılara karşı korumalarını emretti.
FCEB kurumları, Enerji Bakanlığı, Hazine Bakanlığı, İç Güvenlik Bakanlığı ve Sağlık ve İnsani Hizmetler Bakanlığı dahil olmak üzere ABD yürütme organındaki askeri olmayan kurumlardır.
Bu bağlayıcı operasyonel direktif yalnızca federal kurumlar için geçerli olsa da, CISA tüm kuruluşlara bu güvenlik kusurunu mümkün olan en kısa sürede düzeltmeye öncelik vermeleri konusunda çağrıda bulunmuştur.
"Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur" uyarısında bulundu.
Siber güvenlik kurumu, "Satıcı talimatlarına göre azaltımları uygulayın, bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip edin veya azaltıcı önlemler mevcut değilse ürünü kullanmayı bırakın" diye ekledi.
Eylül ayında Samsung, Android cihazlarını hedef alan sıfır gün saldırılarında kullanılan başka bir libimagecodec.quram.so kusurunu (CVE-2025-21043) düzeltmek için güvenlik güncellemeleri yayınladı.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Samsung yamaları, WhatsApp'ın bildirdiği sıfırıncı günden aktif olarak yararlanıyor
Yeni LandFall casus yazılımı, WhatsApp mesajları aracılığıyla Samsung sıfırıncı günü istismar etti
CISA, bilgisayar korsanlarının Oracle E-Business Suite SSRF kusurundan yararlandığını doğruladı
CISA, kurumlara sıfır gün saldırılarında yararlanılan Cisco kusurlarını düzeltme emri verdi
CISA, saldırılarda istismar edilen kritik CentOS Web Paneli hatası konusunda uyardı
Kaynak: Bleeping Computer